Drive-by download

Drive-by Download ist von zwei Typen, die jeweils die Unbeabsichtigten betreffen Download von Computer Software von dem Internet:[1]

  1. Autorisierte Drive-by-Downloads sind Downloads, die eine Person autorisiert hat, ohne jedoch die Konsequenzen zu verstehen (z. B. Downloads, die ein Unbekannter oder Fälschungen installieren ausführbares Programm, ActiveX Komponente, oder Java Applet).
  2. Nicht autorisierte Drive-by-Downloads sind Downloads, die ohne das Wissen einer Person passieren, oft a Computer Virus, Spyware, Malware, oder Krimeware.[2]

Drive-by-Downloads können beim Besuch a passieren Webseite,[3] Öffnen eines Email Anhang Oder klicken Sie auf einen Link oder klicken Sie auf ein täuschendes Popup-Fenster:[4] Durch das Klicken auf das Fenster in der falschen Überzeugung, dass beispielsweise ein Fehlerbericht des Betriebssystems des Computers selbst anerkannt oder ein scheinbar harmloser Werbepop-up abgewiesen wird. In solchen Fällen kann der "Lieferant" behaupten, dass der Benutzer dem Download "zugestimmt" habe, obwohl der Benutzer tatsächlich nicht weiß, dass er einen unerwünschten oder böswilligen Software -Download gestartet hatte. Wenn eine Person eine Website mit böswilligen Inhalten besucht, kann die Person Opfer eines Angriffs von Drive-by-Download werden. Das heißt, der böswillige Inhalt kann möglicherweise nutzen Schwachstellen in dem Browser oder Plugins Böswilliger Code ohne das Wissen des Benutzers ausführen.[5]

A Drive-by-Installation (oder Installation) ist ein ähnliches Ereignis. Es bezieht sich auf Installation Anstatt herunterzuladen (obwohl manchmal die beiden Begriffe austauschbar verwendet werden).

Verfahren

Beim Erstellen eines Drive-by-Downloads muss ein Angreifer zuerst seine böswilligen Inhalte erstellen, um den Angriff auszuführen. Mit dem Anstieg der Exploit-Packs, die die Sicherheitslücken enthalten, die für die Ausführung von unbefugten Drive-by-Download-Angriffen erforderlich sind, wurde die für die Durchführung dieses Angriffs erforderliche Fähigkeitsstufe verringert.[5]

Der nächste Schritt besteht darin, den böswilligen Inhalt zu hosten, den der Angreifer verteilen möchte. Eine Option besteht darin, dass der Angreifer die böswilligen Inhalte auf seinem eigenen Server hosten. Aufgrund der Schwierigkeit, Benutzer auf eine neue Seite zu leiten, kann sie jedoch auch auf einer kompromittierten legitimen Website oder einer legitimen Website gehostet werden, die die Angreifer Inhalte unwissentlich über einen verteilt Drittanbieter (z. B. eine Anzeige). Wenn der Inhalt vom Client geladen wird, analysiert der Angreifer die Fingerabdruck vom Client, um den Code so anzupassen, dass es sich um Schwachstellen handelt, die für diesen Kunden spezifisch sind.[6]

Schließlich nutzt der Angreifer die notwendigen Schwachstellen aus, um den Angriff von Drive-by-Download zu starten. Drive-by-Downloads verwenden normalerweise eine von zwei Strategien. Die erste Strategie ist die Ausbeutung API Forderungen für verschiedene Plugins. Zum Beispiel die Download -und -API des Sina ActiveX Die Komponente überprüfte die Parameter nicht ordnungsgemäß und erlaubte das Herunterladen und Ausführen beliebiger Dateien aus dem Internet. Die zweite Strategie beinhaltet das Schreiben Shellcode zum Speicher und dann im Webbrowser oder Plugin auszunutzen, um den Steuerfluss des Programms in den Shell -Code umzuleiten.[6] Nachdem der Shellcode ausgeführt wurde, kann der Angreifer weitere böswillige Aktivitäten ausführen. Dies beinhaltet häufig das Herunterladen und Installieren Malware, aber kann alles sein, einschließlich des Diebstahls von Informationen, die sie an den Angreifer zurücksenden können.[5]

Der Angreifer kann auch Maßnahmen ergreifen, um die Erkennung während des gesamten Angriffs zu verhindern. Eine Methode besteht darin, sich auf die zu verlassen Verschleierung des bösartigen Code. Dies kann durch die Verwendung von erfolgen iframes.[5] Eine andere Methode besteht darin, den böswilligen Code zu verschlüsseln, um die Erkennung zu verhindern. Im Allgemeinen verschlüsselt der Angreifer den böswilligen Code in a Geheimtextenthält dann die Entschlüsselungsmethode nach dem Chiffretext.[6]

Erkennung und Prävention

Die Erkennung von Download-Angriffen von Drive-by ist ein aktives Forschungsbereich. Einige Erkennungsmethoden beinhalten Anomalieerkennung, die für staatliche Änderungen auf dem Computersystem eines Benutzers verfolgt, während der Benutzer eine Webseite besucht. Dies beinhaltet die Überwachung des Computersystems des Benutzers auf anomale Änderungen, wenn eine Webseite gerendert wird. Andere Erkennungsmethoden sind Erkennung, wenn böswilliger Code (Shellcode) von einem Angreifer in den Speicher geschrieben wird. Eine andere Erkennungsmethode besteht darin, Laufzeitumgebungen zu ermöglichen, die es ermöglichen JavaScript Code zum Ausführen und Verfolgen des Verhaltens, während es ausgeführt wird. Andere Erkennungsmethoden umfassen die Untersuchung von Inhalten von HTML -Seiten, um Funktionen zu identifizieren, mit denen böswillige Webseiten identifiziert werden können, und die Verwendung von Merkmalen von Webservern, um festzustellen, ob eine Seite böswillig ist.[5] Einige Antivirenwerkzeuge verwenden statisch Unterschriften um Muster böswilliger Skripte zu entsprechen, obwohl diese aufgrund von Verschleierungstechniken nicht sehr effektiv sind. Die Erkennung ist auch durch Verwendung von niedrigem Interaktion oder hoher Interaktion möglich Honigkläger.[6]

Drive-by-Downloads können auch verhindert werden, dass Skript-Blocker wie die Verwendung von Skriptblockern auftreten, z. B. NoScript, was leicht in Browser wie Firefox hinzugefügt werden kann. Mit einem solchen Skript-Blocker kann der Benutzer alle Skripte auf einer bestimmten Webseite deaktivieren und dann einzelne Skripte selektiv nach einiger Basis wieder aufnehmen, um zu bestimmen, welche für Webseiten-Funktionen wirklich erforderlich sind. Einige Skript-Blockier-Tools können jedoch unbeabsichtigte Konsequenzen haben, z.[1]

Siehe auch

Verweise

  1. ^ a b Phillips, Gavin. "Was ist ein Drive-by-Download-Malware-Angriff?". Abgerufen 4. Januar 2022.
  2. ^ "Ausnutzen auf Amnestie -Seiten Tricks AV Software". Das h online. Heinz Heise. 20. April 2011. Abgerufen 8. Januar 2011.
  3. ^ Sood, Aditya K.; Zeadally, Sherali (1. September 2016). "Drive-by-Download-Angriffe: Eine vergleichende Studie". Computerspezialist. 18 (5): 18–25. doi:10.1109/Mitp.2016.85. ISSN 1520-9202.
  4. ^ Olsen, Stefanie (8. April 2002). "Web-Surfer bilden Pop-up-Downloads". CNET Nachrichten. Abgerufen 28. Oktober 2010.
  5. ^ a b c d e Le, Van Lam;Welch, Ian;Gao, Xiaoying;Komisarczuk, Peter (1. Januar 2013). Anatomie des Drive-by-Download-Angriffs. Verfahren der elften australasianischen Informationssicherheitskonferenz - Band 138.AISC '13.Darlinghurst, Australien, Australien: Australian Computer Society, Inc. S. 49–58. ISBN 9781921770234.
  6. ^ a b c d Egele, Manuel;Kirda, Engin;Krugel, Christopher (1. Januar 2009)."Mildernde Drive-by-Download-Angriffe: Herausforderungen und offene Probleme". INETEC 2009 - Offene Forschungsprobleme in der Netzwerksicherheit.IFIP -Fortschritte in der Informations- und Kommunikationstechnologie.Vol.309. Springer Berlin Heidelberg.S. 52–62. doi:10.1007/978-3-642-05437-2_5. ISBN 978-3-642-05436-5.